Создание масштабируемой многоаккаунтной среды AWS с помощью Control Tower, Terraform A AFT и защитных мер SCP

Организация использует AWS Control Tower для создания безопасной и соответствующей требованиям многоаккаунтной целевой зоны. Эта целевая зона, управляемая выделенной учетной записью, настраивает организационную структуру, включая безопасность, внутреннюю сеть, сеть NPR, сеть PRD и устаревшие организационные подразделения. Ключевым компонентом является использование AWS Organizations для централизованного управления с применением политик управления сервисами (SCPs) на уровне организационного подразделения. Account Factory for Terraform (AFT) обеспечивает автоматизацию на основе GitOps для подготовки учетных записей и применения базовых конфигураций, тегов и ролей. Региональная стратегия в основном использует eu-west-2 для рабочих нагрузок и us-east-1 для SSO и бэкенда Control Tower. Сеть использует Transit Gateways, Internet Gateways, NAT Gateways и Network Firewalls, размещенные в учетных записях общих сервисов. Управление использует превентивные (SCPs), детективные (Config, Security Hub) и проактивные (CloudFormation hooks) средства контроля. Основные SCPs обеспечивают соблюдение лучших практик безопасности, таких как ограничения по регионам, контроль доступа и применение тегов. Рабочий процесс развертывания включает в себя включение Control Tower, загрузку AFT, создание организационных подразделений с SCPs и автоматизированную подготовку учетных записей. Будущие улучшения включают поэтапное применение политик, проактивные средства контроля, такие как CloudFormation Hooks, и автоматизированные проверки соответствия требованиям.